Was ist ein Datenschutzbeauftragter

Der Datenschutzbeauftragte (kurz: DSB) ist eine natürliche Person oder ein Unternehmen, bestellt durch ein Unternehmen oder eine öffentliche Stelle, um die Einhaltung des Datenschutzes zu überwachen und sicher zu stellen.

Der Datenschutzbeauftragte kann als interner betrieblicher oder externer Dienstleister benannt werden.

Intern oder betrieblich wird ein Mitarbeiter nach externer Schulung als DSB benannt. Dieser übernimmt dann zu seinen normalen Aufgaben auch die Tätigkeiten des Datenschutzbeauftrgaten.

Der externe DSB übt seine Tätigkeiten unabhängig vom Mitarbeiterstamm aus.

Wann ist ein Datenschutzbeauftragter gesetzlich vorgeschrieben?

Grundsätzlich ist das Thema "DSGVO und Datenschutzbeauftragter" für alle Unternehmen relevant, die mit personenbezogenen Nutzer- und/oder Kundendaten arbeiten.

Hier spielt die Verarbeitung der Daten (online oder offline) keine Rolle. Die Datenschutzgrundverordnung gilt nämlich sowohl in der "realen Welt" als auch im Internet.

Bestimmte Unternehmen sind zur Benennung eines Datenschutzbeauftragten (extern oder betrieblich) verpflichtet. Die DSGVO und das Bundesdatenschutzgesetz (BDSG neu) schreiben die Benennung eines Datenschutzbeauftragten vor, sobald eine der folgenden Bedingungen erfüllt ist:

a) Mehr als zehn Personen sind in der Regel ständig mit der automatisierten Verarbeitung personenbezogener Daten im Unternehmen beschäftigt.

Diese Vorschrift entspricht im Grundsatz der bestehenden Rechtslage. Von automatisierter Datenverarbeitung spricht man, wenn die Datenverarbeitung mit Hilfe von Datenverarbeitungsanlagen (z. B. Computer) erfolgt.

Hier bedeutet der Passus "in der Regel", dass die Verarbeitung personenbezogener Daten für die Mitarbeiter zu deren "beruflichen Alltag" gehört. Beispiel: Callcenter-Mitarbeiter, die telefonische Bestellungen aufnehmen.
Ein Mitarbeiter der Postabteilung, der normalerweise Rechnungen einkuvertiert und als Krankheitsvertretung Bestellungen aufnehmen muss, zählt hier eher nicht.

Zu den Mitarbeitern zählen hier allerdings auch freie Mitarbeiter, Leiharbeitnehmer, Praktikanten, Teilzeitkräfte etc., sofern sie mit relevanten Daten arbeiten. Hier spielt es auch keine Rolle, ob die Beschäftigtenzahl kurzzeitig unter oder über 10 Beschäftigte schwankt.

Es ist im Einzelfall zu klären ob eine "ständige Beschäftigung" vorliegt. Hier kann aber zumindest dann davon ausgegangen werden, wenn die Verarbeitung der Daten regelmäßig oder wiederkehrend erfolgt.

b) Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.Diese – tiefjuristische Formulierung – hat zwei wesentliche Voraussetzungen.

  • Es handelt sich um eine Tätigkeit, die eine umfangreiche, regelmäßige und systematische Überwachung von Personen erforderlich macht. In der DSGVO ist nicht definiert, wann dies der Fall ist. Entsprechende Anhaltspunkte für eine umfangreiche und systematische Tätigkeit können aber z. B. Dauer der Überwachung, Anzahl der betroffenen Personen oder die Menge der betroffenen Daten sein.
  • Außerdem muss die Datenverarbeitung eine Kerntätigkeit des Unternehmens sein. Ist also die betreffende Datenverarbeitung ein zentraler Bestandteil der unternehmerischen Tätigkeit / Geschäftsstrategie, trifft dieser Fall zu. Beispiele: Die Verarbeitung von Gesundheitsdaten in einem Krankenhaus oder die Verarbeitung von Adressdaten in einer Auskunftei.
    Als Nebentätigkeit wird dagegen die Verwaltung von Personaldaten innerhalb eines Unternehmens eingestuft.

c) Die Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung besonderer Datenkategorien.

Als "besondere Datenkategorien" gelten vor allem:

  • Gesundheitsdaten
  • personenbezogene Daten über Straftaten oder strafrechtliche Verurteilungen
  • Daten zum Sexualleben oder zur sexuellen Orientierung
  • Daten aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgeht
  • genetische und biometrische Daten

Liegt nun noch eine "umfangreiche Verarbeitung" im Sinne der DSGVO vor, müssen Sie einen Datenschutzbeauftragten benennen.

d) Das Unternehmen ist nach DSGVO verpflichtet eine so genannte Datenschutz-Folgenabschätzung durchzuführen.

Wenn das Unternehmen verpflichtet ist, eine Datenschutz-Folgenabschätzung durchzuführen (Art. 35 DSGVO), muss unabhängig vom Vorliegen weiterer Voraussetzungen ein Datenschutzbeauftragter benannt werden.

^